http://www.arocmag.com/article/02-2019-05-040.html 
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摘 要 : 针对 现 有 的 基于 属性 的 密 文 可 搜索 方案 存在 隐私 泄露 问题 以 及 当 授权 用 户 不 在 线 时 如 何 安全 有 效 地 将 密 文 以 

及 搜索 权限 委托 给 其 他 人 的 问题 进行 了 研究 ， 将 隐藏 访问 结构 的 基于 属性 密 文 可 搜索 方案 与 代理 重 加 密 技 术 融 合 ， 提 

出 了 具有 部 分 隐藏 访问 结构 的 支持 代理 重 加 密 的 功能 的 基于 属性 的 密 文 检索 方案 。 该 方案 不 仅 有 效 地 解决 了 上 述 问题 ， 
还 支持 关键 字 的 更 新 。 最 后 在 随机 预言 模型 下 基于 DL(D-linear) 假 设 和 q-BDHE (decisional q-parallel bilinear Diffie- 

Hellman exponent) 假 设 ， 证 明了 本 方案 的 实 全 性 。 
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Privacy protection attribute-based ciphertext search scheme 


Hu Yuanyuan, Chen Yanli, Zhu Minhui 
(School of Computer Science, Nanjing University of Posts & Telecommunications, Nanjing 210003, China) 


Abstract: There are lots of drawbacks in existing attribute-based encryption with keyword search scheme, such as privacy 
disclosure issues and when the authorized user is offline how effectively delegate decrypt and search right to other people. In 
order to solve these problems, this paper proposed an attribute-based ciphertext search scheme with hidden access structures, 
which support proxy re-encryption function by combing attribute-based encryption with hidden access structures and proxy re- 
encryption technology. This scheme not only effectively solves the problems mentioned above, but also supports the update of 
keywords. Finally, under the random oracle model, the researchers proved the security of the scheme based on DL (D-linear) 
and q-BDHE (decisional q-parallel bilinear Diffie-Hellman exponent) hypothesis. 


Key Words: cloud computing; attributed-based encryption with keyword search; hidden access structures; proxy re-encryption 


而 访问 结构 中 包含 了 一 些 敏 感 信息 ,存在 用 户 信息 泄露 的 风险 。 
此 外 在 实际 应 用 中 ， 数 据 共享 时 存在 一 些 局 限 性 ， 比 如 在 

随 着 大 数据 和 云 计 算 的 时 代 的 到 来 ， 己 经 有 越 来 越 多 的 个 ” 医疗 云 系 统 中 , 甲 医院 每 天 根据 病人 A 的 观察 记录 生成 病历 然 
人 和 企业 都 将 大 量 私 有 数据 上 传 到 云 系统 ， 从 而 节省 本 地 的 存 ” 后 上 传 到 系统 中 ， 但 是 为 了 保护 病人 隐私 以 及 搜索 的 方便 ， 需 
储 和 管理 成 本 。 为 了 保证 数据 的 安全 性 ， 数 据 拥 有 者 需要 将 数 用 访问 结构 与 关键 字 加 密 后 再 上 传 到 云 系统 中 ， 从 而 只 有 用 
据 加 密 后 再 上 传 到 云 系统 中 。2000 年 ，Song 和 Wagner 等 人 [1 户 属性 满足 访问 结构 的 (如 医生 B) 才 可 以 进行 关键 字 搜 索 
第 一 次 提出 了 可 搜索 加 密 (Searchable Encryption, SE), 实现 了 在 ”获得 相关 信息 。 现 实 中 可 能 会 出 现 如 下 场景 : 医生 B 出 差 或 外 
不 解密 密 文 的 情况 下 ， 能 够 利用 关键 字 对 密 文 进行 快速 检索 。 度假 , 或 者 由 于 病人 情况 复杂 医生 B 需要 和 乙 医院 的 主任 医 
在 实际 应 用 中 ， 一 些 数据 需要 被 多 个 用 户 所 共享 ， 因 此 基于 属 ÆC 共同 会 诊 , 即 医 生 C 希望 能 够 在 云 系统 中 搜索 到 病人 
性 的 可 搜索 加 密 方案 引起 众多 学 者 的 关注 。 相 比 于 基于 身份 的 。 A 的 信 ， 
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息 并 查看 ， 除 此 之 外 ， 这 份 共享 的 病历 可 能 还 需要 将 关 


ee esd One 键 字 更 新 ,一 个 传统 的 方法 就 是 由 医生 B 将 病人 A 的 病历 下 载 
身份 信息 ， 而 是 掌握 搜索 者 的 一 系列 的 属性 描述 ， 当 用 户 的 属 ”到 本 地 解密 后 再 用 新 的 访问 结构 以 及 新 的 关键 字 加 密 后 再 上 传 
性 满足 密 文中 的 访问 结构 才 可 进行 搜索 操作 。 因 此 ， 基 于 属性 ”到 云 系统 中 ， 这 样 医生 C 由 于 满足 访问 结构 ， 从 而 可 以 从 云 系 
的 可 搜索 加 密 能 够 实现 细 粒 度 的 访问 控制 和 密 文 。 但 是 目前 才 统 中 进行 关键 字 搜索 并 获得 信息 。 但 是 这 种 方法 给 医生 B 带 来 
于 属性 的 可 搜索 加 密 中 会 将 用 户 结构 和 搜索 关键 字 发 送 给 用 户 ， 了 额外 的 加 密 解 密 的 负担 ， 并 且 在 这 样 一 个 大 数据 的 时 代 ， 随 
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着 数据 的 增多 , 这 样 的 搜索 和 共享 的 数量 也 会 急剧 增加 。 另 外 ， 但 是 他 们 并 不 能 满足 实际 应 用 中 当 授 权 用 户 不 在 线 时 将 密 文 解 
将 云 系统 中 的 密 文 下 载 到 本 地 不 仅 给 本 地 的 存储 和 管理 带 来 】 密 以 及 搜索 权利 授予 给 其 他 用 户 的 需求 。 在 2014 年 ，Shao 等 
压力 ， 而 且 这 也 未 能 有 效 发 挥 云 系统 带 来 的 存储 优势 。 因 此 针 人 0 将 传统 的 代理 重 加 密 09 和 可 搜索 加 密 启 结合， 提出 了 代理 
对 上 述 两 个 方面 的 问题 ， 本 文 提 出 了 满足 实际 应 用 需求 的 一 个 ” 重 加 密 的 可 搜索 加 密 。 随 后 一 些 支持 代理 重 加 密 的 可 搜索 加 密 
支持 代理 重 加 密 的 具有 部 分 隐藏 访问 结构 功能 的 基于 属性 密 文 FRUT 虽 也 相继 被 提出 , 但 是 这 些 方案 的 通信 模式 都 是 一 对 

可 搜索 方案 ， 不 仅 实现 了 密 文 解密 以 及 密 文 搜索 功能 的 共享 ， 的 ， 不 能 满足 当前 分 布 式 网 络 环 境 的 需求 。 所 以 Shi 等 人 [9 将 
还 可 支持 关键 字 的 更 新 。 方 案 的 访问 结构 采用 的 是 LSSS 线性 ”基于 属性 的 加 密 可 搜索 加 密 与 代理 重 加 密 的 技术 相 结合 提出 支 
秘密 共享 矩阵 ， 不 仅 可 支持 细 粒 度 的 访问 控制 ， 且 具有 较 高 的 ”，” 持 关键 字 搜索 的 基于 属性 的 代理 重 加 密 方案 。 但 是 该 方案 对 关 
计算 效率 。 键 字 加 密 采 用 的 是 普通 公 钥 加 密 技术 ， 没 有 实现 真正 的 一 对 多 
1 ”相关 介绍 的 通信 模式 ， 此 外 在 查询 门限 和 密 文 关键 字 比 较 过 程 中 使 用 大 
量 双 线性 配对 运算 而 导致 效率 不 高 的 问题 。2015 年 ，Liang 等 
2004 年 , Boneh 等 人 中 首次 提出 了 公 钥 可 搜索 加 密 的 概念 ， 人 [0 将 KP-ABKS 和 代理 重 加 密 结合 提出 了 可 搜索 的 基于 属性 
实现 了 用 户 无 须 对 数据 进行 解密 就 能 快速 有 效 地 进行 搜索 操作 ， ”的 代理 重 加 密 方案 。 但 是 该 方案 采用 的 是 KP-ABE， 加 密 者 不 
以 获得 所 需要 的 信息 。 随 后 ， 具 有 连接 关键 词 B、 模 糊 关 键 词 内 = 可 以 直接 决定 谁 有 权 解 密 ， 只 能 为 数据 选择 描述 性 的 属性 ， 只 
等 功能 的 公 钥 可 搜索 加 密 方案 也 相继 被 提出 。 随 着 密码 学 的 发 。 能 相信 密 钥 发 布 者 ， 所 以 该 方案 并 不 能 很 好 的 控制 访问 策略 ， 
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展 ， 学 者 们 发 现 ， 虽 然 乙 有 的 公 钥 加 密 可 搜索 加 密 方案 解决 】 且 文 献 U9P9 均 未 能 针对 访问 结构 泄露 敏感 信息 做 处 理 。 

对 称 可 搜索 加 密 中 密 钥 传输 的 不 确定 性 ， 但 是 在 当前 云 存储 快 本 文 贡献 : 针对 目前 基于 属性 的 可 搜索 加 密 方案 存在 用 户 
速 发 展 ， 个 人 数据 愈 来 您 多 ， 这 一 复杂 的 分 布 式 网 络 环境 下 ， 信息 泄露 以 及 不 能 实现 密 文 解密 以 及 搜索 权限 的 代理 、 关 键 字 
数据 拥有 者 往往 不 能 确切 知道 所 有 访问 者 的 信息 ， 但 是 又 希望 ”更 新 等 问题 ， 提 出 了 一 个 支持 代理 重 加 密 的 基于 属性 的 密 文 检 


能 给 访问 加 密 数 据 的 用 户 加 上 一 些 限制 条 件 ， 使 得 符合 条 件 的 索 方 案 (S-HABPRE-KU)， 不 仅 实现 了 密 文 的 代理 重 加 密 ， 还 
用 户 才能 搜索 数据 ， 其 他 人 拒绝 访问 ， 通 信 模 式 不 再 是 一 对 一 ”可 以 支持 关键 字 的 更 新 。 S-HABPRE-KU 方案 主要 的 特点 如 下 : 


的 ， 显 然 传统 的 公 钥 可 搜索 加 密 趾 以 及 基于 身份 的 可 搜索 加 密 a) 首 次 提出 了 一 个 符合 实际 应 用 需求 的 支持 代理 重 加 密 的 
技术 四 已 经 不 能 解决 这 一 难题 ， 为 解决 这 个 难题 ， 基 于 属性 的 。 ”隐藏 访问 结构 的 基于 属性 的 密 文 检索 方案 ， 实 现 了 当 授 权 用 户 
可 搜索 加 密 (ABKS) 被 提 了 出 来 。 不 在 线 时 将 密 文 搜索 和 解密 权限 委托 给 其 他 用 户 ， 从 而 实现 数 


2013 Æ, Wang 和 Kulvaibhavh 等 人 I$ ?在 传统 的 基于 密 文 ” 据 和 密 文 的 进一步 安全 有 效 的 共享 。 
策略 的 属性 加 密 方案 外 (CP-ABE) 基础 上 提出 了 基于 属性 的 密 b) 在 密 文 进行 重 加 密 阶段 ， 支 持 对 关键 字 进 行 更 新 操作 ， 
文 检索 方案 (CP-ABKS)。2014 年 , Zheng 等 人 中 提出 了 一 种 可 ”以 便 在 与 他 人 共享 密 文 之 前 ， 密 文 的 关键 字 可 以 进一步 更 新 。 
验证 的 基于 CP-ABE 的 密 文 检索 方案 ， 该 方案 在 加 密 过 程 中 利 0) 方 案 采 用 了 表达 能 力 更 强 的 LSSS 访问 结构 ， 可 以 实现 
用 不 同 的 访问 结构 加 密 不 同 的 关键 字 , 由 服务 器 执行 验证 算法 。 属性 的 与 、 或 、 非 和 陷 门 操作 ， 细 粒度 地 描述 用 户 的 属性 ， 能 
验证 过 程 中 对 于 不 同 的 访问 结构 产生 不 同 的 返回 信息 ， 用 户 根 ” 够 在 可 搜索 加 密 的 基础 上 提高 效率 ， 增 加 访问 的 灵活 性 ， 并 减 
据 返 回 的 信息 来 判断 服务 器 是 否 严格 执行 了 验证 算法 。 同 年 ， 少 存储 代价 。 

李 双 等 人 (9 在 密 钥 策略 的 属性 加 密 方案 (KP-ABE) 基础 上 提出 d) 方 案 采 用 部 分 隐藏 访问 结构 的 方式 很 好 的 保护 用 户 的 隐 
了 KP-ABE 的 可 搜索 加 密 方案 (KP-ABKS )， 该 方案 和 文献 [9] 。 私 ， 和 文献 证 类似， 方案 中 的 属性 由 属性 名 和 属性 值 两 部 分 组 
中 一 样 都 是 采用 效率 较 低 的 树 型 访问 控制 结构 。 此外, 文献 [10] ” 成， 但 是 和 密 文 同时 发 送 的 访问 结构 只 包含 属性 名 ， 不 包含 具 
中 的 方案 在 门限 生成 过 程 中 包含 了 私 钥 ， 在 门限 上 传 到 云 服务 ” 体 属性 值 。 

Wi Bj i es 随后 aa 车 2 ”预备 知识 
性 撤销 00， 多 用 户 03 等 特点 的 基于 属性 的 可 搜索 加 密 方案 被 提 

出 。 上 述 可 搜索 加 密 方案 由 于 访问 结构 会 和 关键 字 一 起 发 送 ， 21 双 线 性 配对 
而 访问 结构 中 通常 包含 


一 些 敏感 信息 ， 所 以 存在 用 户 隐 私 泄露 BG» G, 为 两 个 阶 为 素数 p 的 循环 群 ，g 是 G 上 的 一 个 

的 问题 。 尽管 Lai 等 人 (3 在 Waters 的 ABEISI 的 基础 上 提出 了 隐 生成 元 。 双 线性 映射 e: GxG>G,> 同时 满足 以 下 性 质 : 
藏 访问 结构 的 基于 属性 的 加 密 方案 ， 但 是 目前 还 没有 人 提出 可 a) 双 线 性 。 对 于 任意 的 abeZ, ，g,g,eG ， 都 有 
隐藏 访问 结构 的 基于 属性 的 可 搜索 加 密 方案 ， 虽 然 Mukti EA elgi gi) =e(g,g,)” 成 并 。 
4 提出 了 隐藏 访问 结构 的 基于 CP-ABE 的 可 搜索 加 密 方案 , 但 b) 非 退 化 性 。 存 在 g eG ， 使 得 e(g,g)z1， 其 中 1 代表 
是 该 方案 是 关键 字 等 价 于 属性 来 生成 门限 ， 并 不 能 实现 真正 的 。”G; 的 单位 元 。 
基于 属性 的 密 文 可 搜索 。 co) 可 计算 性 。 对 于 G 中 的 所 有 元 素 g,g, ， 存 在 一 个 有 效 

尽管 已 经 有 大 量 关于 基于 属性 的 可 搜索 加 密 方案 被 提出 ， 算法 能 够 计算 出 elg, g) 。 
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2.2 访问 结构 

设 U={w,w,…,W} 是 所 有 的 属性 集合 ， 若 存在 访问 结构 
Ac2 ,如 果 对 于 任意 的 旨 >C, BeA, BSC, H CEA, 
那么 称 4 是 单调 的 。 如 果 集 是 27 的 一 个 非 空子 集 , 那么 称 


mr 


o> o> 
> & 


aur 


4 是 一 个 访问 结构 。 包 含 在 4 中 的 集合 称 为 授权 集合 ， 不 包含 
在 4 中 的 集合 称 为 非 授权 集合 


2.3 ”线性 秘密 共享 方案 (linear secret sharing scheme, LSSS) 
一 个 定义 在 实体 集 P 上 的 线性 秘密 共享 方案 IT 是 指 : 
a) 所 有 实体 的 共享 组 成 Z, 上 的 一 个 向 量 。 
b) 存在 一 个 1xn 的 机 共享 矩阵 和 一 个 从 12, 用 到 pp 
的 映射 , 随机 选取 一 个 向 量 v=(s,y,,…,y,)e2Z,， 其 中 s 是 要 共 
享 的 秘密 ,那么 M, -v 就 是 利用 IT 得 到 的 关于 * 的 ! 个 共享 值 组 
成 的 向 量 ， 其 中 (My), 是 属于 实体 plio WN A =(Mv") 
按照 以 上 定义 的 线性 秘密 共享 方案 LSSS 都 具有 可 重 构 的 
性 质 ， 假 设 卫 是 一 个 对 应 访问 结构 4 的 LSSS， 对 于 任何 授权 
FPR SeA. EMI ={i: pMeS}c,2,--. > WHA} EB 
密 s 根据 II 的 有 效 分 享 ， 那 么 存在 一 个 常数 集 {w EZ, ha 使 得 
> oA =s: 对 于 任何 非 授权 用 户 集 , 存在 向 量 {@ eZ, ha? 


ii 


IE M7 =0 » 
2.4 判断 性 gq-BDHE(decisional q-parallel bilinear Diffie- 
Hellman exponent) {Fri 
设 存在 一 个 阶 为 素数 p 的 群 G g 是 G 上 的 生成 元 , 双 线 
性 映射 ，e:GxG 一 G;， 设 y=g,g',g".… pe 


a sy 
ajb; arfos ato) 
> 


sb, 
MT 


Hep as, bob eZ, 。 将 》 交 给 敌手 , 不 存在 概率 多 项 式 时 间 


a! a? 
8 ,8 sg 


a-s-by jb (a4 -s-b, fb;) 
558 4 


a/b a 
>’ g 户 ， Vicjkeg.kej 8 


算法 ， 以 不 可 忽略 的 优势 将 T=e(g,g)”“ eG 与 随机 元 素 


TEG 区 分 。 算 法 B 的 优势 定义 为 


D-g—parallelBDHE __ 
Adv, = 


| PrlB(y,T = e(g,g)"*) =0]-Pr[BO,T €G,) = 0]| 


2.5 判定 性 DL(decisional linear assumption) (Fri 
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即 可 ， 为 了 防止 访问 结构 中 的 敏感 信息 被 泄露 ， 本 文采 用 部 分 
隐藏 访问 结构 。 云 服务 器 主要 用 来 负责 存储 加 密 的 数据 ， 
在 用 户 上 传 搜索 门限 后 进行 搜索 匹配 算法 ， 返 回 对 应 的 搜索 密 
文 并 解密 得 到 共享 数据 和 文件 。 此 外 ， 云 服务 器 收 到 授权 用 户 
发 送 的 重 加 秘密 钥 ( 与 男 一 个 访问 结构 PB, 新 的 关键 字 w” 相 
K) 后 可 以 对 原始 密 文 进行 重 加 密 ， 充 分 发 挥 了 云 服务 器 的 存 
储 和 计算 能 力 。 重 加 密 后 的 密 文 可 以 由 被 授权 用 户 进行 搜索 和 
解密 操作 ， 即 使 授权 用 户 不 在 线 的 情况 下 仍然 可 以 将 搜索 以 及 
解密 的 权限 委托 给 其 他 用 户 ， 实 现 了 信息 的 安全 有 效 共享 。 


搜索 门限 


返回 结果 

可 结 & 

—| ON 
重 加 密 密 铀 WC ® by 


-一 一 一 


Hey 
授权 用 户 ey 
(属性 S 满 足 PA) 
、 E ge 
搜索 门限 Ky 


i 
返回 结果 > 


被 授权 用 户 
(属性 S” 满 足 PB) 


云 服务 器 


图 1 系统 模型 图 


3.2 方案 的 一 般 模型 
支持 代理 重 加 密 的 具有 隐藏 访问 结构 的 功能 的 基于 属性 的 
密 文 可 搜索 方案 包括 以 下 10 个 算法 : 


引 系 统 初始 化 算法 Setup( 1, U): 输入 安全 参数 六 和 全 局 必 


性 集合 yy ， 输 出 系统 公 钥 pg 和 主 密 钥 MSK 。 

b) 私 钥 生 成 算法 KeyGen(PK,MSK,Atts) : 输入 系统 公 钥 
PK、 主 密 钥 Msk 和 用 户 属性 集 ans ， 输 出 私 钥 SK o 

9 密 文生 成 算法 Enc(PK,(M,p,T),m,w) : 输入 系统 公 钥 
PK、 访问 结构 (M,p,T) ZX m 和 关键 字 w ， 输 出 初始 密 文 
CPH 。 

dg) 门 限 生 成 算法 TokenGen(PK,SK,W): 输入 系统 公 钥 pk > 


S 


选择 一 个 阶 为 素数 q 的 群 G ,挑战 者 从 群 G 上 选择 生成 元 
g8,f,h ， 随 机 值 q1,q,e Z, ， 敌 手 在 获得 y =f, fin, f”, ge} 以 
及 随机 值 oe G 后 , 敌手 必须 将 pare eG 与 G 中 的 随机 值 O 区 
分 出 来 , 定义 输出 be{0,1} 的 算法 解决 判定 pz 的 优势 为 se o 4 
| Prg, fA, f”, 8” 1402) = 了 一 PS f“, g” ,Q) = 
He 成 立 ， 则 说 明 政 手 只 能 以 优势 = 攻破 pz 假设 。 


3 ”模型 和 攻击 游戏 


3.1 系统 模型 
本 文 构造 的 系统 模型 如 图 1 所 示 ， 共 包含 三 个 实体 ， 分 别 
是 授权 中 心 ， 云 服务 器 和 去 用 户 ( 包 括 数据 属 主 和 搜索 用 户 )。 


用 户 私 钥 sk 和 待 搜索 关键 字 w , 输出 门限 Tg。 这 个 门限 是 用 
来 搜索 与 关键 字 y 有 关 的 加 密 数 据 。 

6) 密 文 搜索 算法 Search(PK,CPH,TK) :输入 系统 公 钥 pk > 
密 文 CPH 和 门限 Tk， 如果 用 户 的 属性 满足 密 文中 的 访问 结构 
H w=W 就 代表 搜索 成 功 ， 输 出 1， 否则 输出 0。 

解密 算法 Dec(PK,SK,CPH) : 输入 系统 公 钥 pg- AH 
SK 和 密 文 CPH ， 由 云 服 务 器 进行 解密 。 

多 重 加 密 密 钥 生成 算法 Re KeyGen(PK,SK,(M', p’, 
T), KW) : ARRA pg- MARSH sK 和 新 的 访问 结构 
(M',p',T)， 以 及 更 新 的 关键 字 kw， 输出 重 加 密 密 钥 RK ， 
加 密 密 钥 就 是 用 来 把 基于 访问 结构 M, p, r) 和 关键 字 w 的 初 


[fail 
pain 


[fail 
mEn 


其 中 授权 中 心 负责 初始 化 系统 公 钥 、 主 密 钥 以 及 根据 用 户 的 属 
性 集 返 回 对 应 的 私 钥 。 数 据 属 主 选择 需要 上 传 的 数据 和 文件 后 ， 
为 了 保证 数据 和 文件 的 安全 性 ， 必 须 加 密 后 再 上 传 。 属 主 无 须 
知道 解密 者 的 具体 身份 , 只 需要 在 加 密 时 设置 访问 结构 (如 PA) 


I 


oO 


始 密 文 转换 成 相同 明文 下 基于 (M', p'r) 和 Kw 的 重 加 密 密 文 。 

hb) 重 加 密 密 文生 成 算法 Re Enc(PK,CPH,RK): 输入 系统 公 

钥 PK、 初 始 密 文 CPH 重 加 密 密 钥 RK , 输出 重 加 密 密 文 RCH 。 
i) 重 加 密 密 文 搜索 算法 Rsearch(PK,TK,RCPH): 输入 系 
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AA pr ` IR rg 以 及 重 加 密 密 文 RCPH ， 如 果 用 户 的 属性 
满足 重 加 密 密 文中 的 访问 结构 且 w= KW 就 代表 搜索 成 功 ， 输 
出 1， 否 则 输出 0。 

j) 重 加 密 密 文 解密 算 法 Rdec(PK,SK,RCPH) : 输入 系统 公 
钥 pK、 用 户 私 钥 sk 和 重 加 密 密 文 RCH ， 如 果 私 钥 中 的 属性 
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义 为 Ady!ND-sAS-CPA S| pr[b’ =b] -2 o 


S-HABPRE-KU (I, U) 


定义 1 对 于 所 有 多 项 式 时 间 的 敌手 4， 如 果 
Ady Dres cra 都 是 可 以 忽略 不 计 的 ,那么 S-HABPRE-KU 方案 


S—HABPRE-KU 


在 随机 预言 模型 下 是 选择 明文 攻击 安全 的 。 


集 满足 重 加 密 密 文中 的 访问 结构 那么 即 可 成 功 解密 ， 否 则 解密 
失败 。 
3.3 ”安全 模型 
S-HABPRE-KU 的 安全 目标 是 实现 在 随机 预言 模型 下 ， 假 
设 没 有 一 个 概率 多 项 式 时 间 (PPT) 的 敌手 能 在 一 个 不 可 忽视 的 
优势 下 赢得 下 面 这 个 选择 明文 攻击 游戏 和 选择 关键 字 攻 击 游戏 
那么 该 方案 是 具有 不 可 区 分 性 抗 选择 访问 结构 的 选择 明文 
文 


CIND-sAS-CPA ) 安全 和 抗 选择 关键 字 攻 击 CCKA)。 选 择 明 
攻击 (CPA) 是 指 攻击 者 可 以 获得 公 钥 信息 ， 并 且 可 以 根据 自 
的 选择 对 不 同 的 明文 进行 加 密 。 关 键 字 选择 安全 是 指 敌 手 在 没 
有 获得 匹配 的 门限 情况 下 ， 不 能 获得 密 文 关键 字 以 外 的 任何 关 
键 字 信息 。 

以 下 是 敌手 和 挑战 者 之 间 的 选择 明文 攻击 游戏 ， 其 中 c 
是 游戏 的 挑战 者 ，x 和 分 别 是 安全 参数 和 全 局 属性 

1) 选 择 明文 攻击 游戏 : 

a) 攻击 者 初始 化 ， 敌 手 4 宣布 要 挑战 的 访问 结构 
CI DT)。 

bp) 系统 初始 化 , 挑战 者 C 运行 系统 初始 化 算法 Setup", U) > 
并 将 系统 公 钥 PK 发 送 给 敌手 4 。 

c) 第 一 阶段 : 敌手 4 可 以 访问 以 下 预言 机 。 

(a) O,,(Atts) :敌手 4 选 定 属性 集合 Ants, WEAH SK 。 挑 
战 者 C 返回 SK 4 KeyGen(PK,MSK, Atts) 。 

O) Oneca W, Att) : 政 手 A 选 定 属性 集合 , OBESE w 询问 
门限 值 zk o 挑战 者 C 返回 TK TokenGen(PK，SK,W)，, 其 中 


ia 
。 


SK < KeyGen(PK,MSK, Atts) 。 

(C) Ope keyen(Atts,(M', p', T), KW) : 政 手 4 给 出 属性 集合 
Ali， 新 的 访问 结构 (M'o ,一 个 关键 字 Ky， 询问 重 加 密 
密 钥 RK < Re KeyGen(PK,SK,(M', p',T), KW) o JRE c BE 


RK & Re KeyGen(SK,(M',p' T), KW) 给 敌手 4， 其 中 
SK < KeyGen( PK, MSK, Atts) ° 
在 该 阶段 ， 下 述 询问 是 被 禁止 的 ; 

Osx (Atts) 时 ,任意 的 Arts 满足 访问 结构 (Mr pT") 
@ Ope reycen(Atts,(M', PT), KW) 时 ,任意 的 Arts 满足 访问 
O,,(Atts) 时 , 任意 的 Attys 满足 访问 结构 


结构 (My*,p',T")， 并 
M“, oT). 

d) 挑战 : 敌手 4 提交 两 个 等 长 消息 mm,m » 挑战 者 Cc 随机 
选 其 中 之 一 moveon 和 一 个 关键 字 wi ， 挑 战 者 C 将 关键 字 密 文 
CPH’ = Enc(PK,(M, p,T),m,,W pao) 发送 给 敌手 4。 

e) 第 二 阶段 ， 此 阶段 敌手 4 重复 第 一 阶段 的 操作 。 

O 猜测 : BP, 输出 猜测 的 值 p' 。 

WR p =b MF AREER, ME 4 获得 胜利 的 优势 定 


Tr 


面 本 文通 过 敌手 模型 形式 化 模拟 的 CKA 安全 定义 ， 其 
中 了 ,表示 与 密 文 相关 联 的 访问 结构 , To 表示 与 密 钥 相 关 的 
属性 集合 , RH EFU melkosen) =1 表示 密 钥 中 的 属性 集合 满足 密 
文中 的 访问 结构 ， 在 系统 建立 之 前 由 敌手 决定 要 挑战 的 访问 结 
构 。 

2) 选 择 关 键 字 攻 击 游戏 : 

系统 建立 : 敌手 选择 一 个 要 挑战 的 访问 结构 1 (不 被 
一 个 不 具备 任何 属性 的 用 户 所 满足 ), Te 发 送 给 挑战 者 。 挑 
战 者 执行 初始 化 算法 ， 产 生 系 统 公 钥 pe 和 系统 主 密 钥 MSK 。 
阶段 一 : 敌手 可 以 在 二 项 式 时 间 内 多 次 执行 以 下 预言 机 ， 
此 外 挑战 者 保存 了 一 个 初始 状态 为 空 的 关键 字 链 Lo 
A) Orso (Traom) : WR F Lye Loca) =1 > 则 系统 终止 运行 。 
否则 挑战 者 执行 私 钥 生 成 算法 KeyGen LD gacen) > SK 并 将 对 应 
的 私 钥 gk 返回 给 敌手 。 

b) Opseencen recen W): 敌手 输入 属性 集合 Ikoon 和 要 查询 的 
KEF w 。 挑 战 者 执行 门限 生成 算法 TokenGen(SK,w) TK > 
将 门限 值 TK 返回 给 敌手 ， 其 中 SK < KeyGen kecen) 。 

挑战 阶段 : 敌手 选择 关键 字 wow, ww £L o DERA pE 
机 选择 一 个 值 4， 其 中 4e{0,1} ， 计算 密 文 
cph = Enc(1;,.,w;)， 挑 战 者 将 cph 发 给 敌手 。w,,w £L, 是 为 
了 防止 敌手 通过 Owen(Cecws 获取 门限 从 而 不 断 猜测 1 。 

阶段 二 : 敌手 继续 查询 阶段 一 中 的 预言 机 ， 如 果 
Fles L kocan) =| 成 立 ， 则 (roewswo) > Ukas w) 不 能 作为 
Oow 的 输入 。 

猜测 : 敌手 输出 2 。 若 4%=2， 则 敌手 赢得 游戏 , 否则 失败 。 

定义 2 ” 若 敌 手 在 安全 参数 r 下 以 一 个 不 可 以 忽略 的 优势 
赢得 选择 关键 字 攻 击 游戏 ， 则 本 方案 是 安全 尼 
4 ”本 方案 描述 
4.1 方案 的 具体 实现 

本 方案 主要 包括 十 个 算法 : 初始 化 , 私 钥 生 成 , 加 密 密 文 ， 
生 门 限 ， 搜 索 匹配 ， 解 密 密 文 ， 重 加 密 密 钥 的 生成 ， 重 加 密 
文 的 生成 ， 重 加 密 密 文 的 搜索 匹配 以 及 密 文 重 解密 算法 ， 下 
进行 详细 描述 。 

a) Setup(1",U) > {PK,MSK} 。 
输入 安全 参数 x 和 全 局 属性 集合 Uy ，|U|=n， 授权 中 心 执 
行 初始 化 算法 。 首先 选择 两 个 阶 为 素数 p 的 循环 群 G,G;， 随机 
选择 生成 元 gg seG， 再 取 三 个 随机 数 a,b,c e Z,， 接 着 选择 随 
HUE u,,---.u, EGRA IX H {01} >Z, > H,:{0,1}° >Z, 。 
输出 公共 参数 PK={g,,9°, 8", 8°.e(g,8)” up nu} HMA 
保存 系统 主 密 钥 MSK ={a,b,c} 。 


o 


H ee 亿 
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b) KeyGen( PK, MSK, Atts) > SK 。 

输入 系统 公 钥 pk 和 主 密 钥 musk 以 及 用 户 属性 集 Ats , 授 
权 中 心 执行 密 钥 生 成 算法 。 选取 随机 值 1<-2Z, ,计算 K = gh 
L=g") 对 于 随机 选择 5,<-Z,> Vs, € Atts > K, =(u" Jo 输出 
用 户 私 钥 SK ={K,L{K,} 


seans} ° 

c) Enc(PK,m,(M ,p,T),w) > CPH 。 

输入 加 密 的 消息 m 、 访 问 结构 (M, p, T) 和 需要 加 密 的 关键 
有 者 执行 加 密 算法 。 其 中 ，jy 是 xn 的 线性 矩阵 ， 
映射 函数 ， 可 以 将 矩阵 的 每 一 行 映 射 成 用 户 属性 ， 
T=(t atn) €Z, > AB 1 行 到 第 1 行 , 计算 1 Kym, # 
中 M, 是 矩阵 y 第 ; 行 对 应 的 向 量 。 首 先 选 择 两 个 随机 值 
quqy<-Z,， 然 后 选择 一 组 随机 值 构 成 随机 向 量 
V= (qY Y) EZ, RP qg 是 共享 的 秘密 ， 再 选择 随机 值 
Heh HZ, 。 计 算 密 文 如 下 : A=me(g,g)”*， B=g%> 


4 


C= g% (UPO ， 


P(x) 


B=gr ; 


, 
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(M', p10") ,新 的 关键 字 Kw ,授权 用 户 执 行 重 加 密 密 钥 生 成 算 
法 ,选择 随机 值 gq 和 随机 矢量 y=(g, ys yL) > Yoru, EZ, » 
再 随机 选择 5 e{0,1} ， 其 中 ，jy' 是 1xn 的 线性 和 矩阵，jp' 是 一 
个 单 上 映射 函数 ， 可 以 将 矩阵 的 每 一 行 映射 成 用 户 属 性 名 ， 
T= Cys tym) €Z, 是 对 应 的 属性 值 ， 从 第 1 行 到 第 | 行 ， 计 
SE at viet KP ME EREE y 第 ; 行 对 应 的 向 量 。 然 后 随 
WH rr 2Z,。 计 算 重 加 密 密 文 如 下 : rk = Se(g,g)"" > 


rk, = gt , rk, = ght) gaH (KW) r rk, = g“ n 
rk; = g” uoy" rk, =" > W H Æ F OeZ, , 
rk, = (Ky? g? = (g g? š rk, = g’ , 


i 5 i H, (8) = RRR 
rk, = pr =(g' fh ’ R, = ga =((u," ) 7 , 输出 重 加 密 密 


$H RK = {rk,,rk,,rk,,rk,,rk, ,,1k,;,1k,,1k,,rky,Ricjiep © 


6,7? 


h) ReEnc(PK,CPH,RK) —> RCPH 。 
输入 原始 密 文 CPH 和 重 加 密 密 钥 pK ， 云 服务 器 运行 重 加 


W, = gO gaha 输 出 密 文 
CPH ={A,B,B,,Vx e [1,1 {C D.},W,, W3} ° 

d) TokenGen(PK,SK,W) >TK 。 

输入 用 户 私 钥 sk 和 待 查 的 关键 字 w , 云 服务 器 执行 门限 
ERRI. WAEI oZ, > T =g T,= 9% 
T, = K? =8 , T, = =8° > YxeAtts > T, =(K) =u} )7 ° 
输出 门限 TK ={T,,7,,7;,T,,T.} 


s, EAtts ° 
e) Search(PK,TK,CPH) > 0/1 ° 
输入 门限 TK 和 密 文 CpPH ， 云 服务 器 执行 密 文 检索 算法 。 
假设 用 户 的 属性 集 Ars 满足 访问 结构 (M,p) ， 则 一 定 存在 一 组 


fi {osZj 使 得 Botsa ， 其 中 


Tc{l,---,0},1 ={i, pi) € Atts} 计算 过 程 如 下 Eroot= 


TACT eD, T D ， 


iel 


E, =e(W,,T,):Eroot , E= 


e(W,,T,)e(T;, B) WR E =E, WAHE 1 代表 搜索 成 功 ,否则 输出 


0。 

f) Dec(PK,SK,CPH) > ml Lo 

输入 私 钥 SK 和 密 文 CPH ， 云 服务 器 执行 解密 算法 。 对 于 
原始 密 文 ， 如 果 关 键 搜索 成 功 ， 则 代表 存在 相关 密 文 ， 并 且 用 
户 的 私 钥 中 的 属性 已 经 满足 密 文 中 的 访问 结构 ， 即 已 经 找到 这 


样 一 组 值 {@e2,},。 BEE LOA = 成立， 然后 即 可 成 功 解密 


iel 


iel 


B e(B,K) 
密 文 。 即 先 计算 和 IEC, Dew, Ky"? 然后 A/Z=m 得 到 


iel 
消息 m 。 否 则 解密 失败 输出 |o 
g) ReKeyGen(PK,SK,(M',p',I’), KW) > RK 。 
输入 系统 公 钥 pk 、 授 权 用 户 私 钥 sK 、 新 的 访问 结构 


& 


密 算法 。 BIC {1,1}, I= {i pi) € Atts} » ERTER EW i ik 


时 ， 存 在 一 个 常数 集 {@ sZ,} ，， 使 得 之 4w=9 ， 然 后 计算 
iel 


iel 


e(B,rk,)/ e(B,, rk,) = eee 
Hace yep Ry ， 最 后 输出 重 加 密 密 文 
iel 


RCPH (rk,rk,, rks, rka, rks i, rke i, rc) o 

i) Rsearch(PK,TK,RCPH)—> 0/1 ° 

输入 门限 TK 和 重 加 密 密 文 CpH ， 云 服务 器 执行 密 文 检索 
算法 。 假 设 用 户 的 属性 集 Arns WEW HEH (M, p, r) W 


定 存 在 一 组 值 {osZj EB Loisg, Kop 


iel 


计 & 过 


IT c{l,---,0},0 ={i, pi) € Atts} fe 如 下 


Eroot' =| [(e(rks Terk Toa)” ， E! =e(rk,,T,)-Eroot' » 


iel 


E, =e(rk,,Te(T,,rk,)> WR E = E, WAH 1， 代 表 搜 索 成 功 ， 
否则 输出 0。 

j) Rdec(PK,SK,RCPH)—ml/ Lo 

输入 被 授权 人 的 私 钥 sk 和 重 加 密 密 文 RCPH o 4M ja 
性 集 Arts’ 不 满足 访问 结构 (Mon 时 ,输出 | ， 否则 根据 私 钥 和 
重 加 密 密 文 恢复 出 56 ，m/Z=5 > KF 


= 


om, 


i e(rk,, K 
Z'= ve) a , Ria Koh few Be x 
TI(eGts,, Derk, ;.K;)) = 
iel 
afi 
m= Al rc ° 


4.2 正确 性 验证 
本 方案 正确 性 可 按 如 下 方式 进行 验证 。 
a) 第 e) 步 搜索 验证 算法 的 正确 性 如 下 : 
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Eroot = | | (eC, T eD, T a)” 


iel 


COO 


iel 


= [es : gefun y , 8" )e(g",(u," F] l 


iel 


=] [legg] i 
iel 

=e(8,8) 

E, = eW,,T,)- Eroot 
= elg“ +4 gah wa 
= efg", g7 Jelg 


= elg, g) elg, g) 


atoq 


18° )e(g,8) 
aH (w)q, 3 g jeg, g) 
elg, g)" 


atoq 


aocq H (w) 


E, = e(W,,T,)e(T,, B) 

= elg”, (8 8 Jelg" a", g) 

= e(g™, g Jelg", g” elg”, gr Je(g*”, g”) 

= e(g, g)” H elg, g)“ e(g, gre 
上 式 可 知 ， 当 且 仅 当 w=W ， 即 密 文 中 的 关键 字 和 门限 
中 的 关键 字 相 同时 已 = 已 成 立 。 

b) 第 站 步 解 密 算 法 正确 性 验证 如 下 : 
e(B,K) 
TI (eC, DeD, Kp)” 


iel 


cbo 


bc+at ) 


2 e(g™,8 
TI(e(e™ (0) se ay)" 


iel 


_ elg”, g" Jelg”, g") 
TI(ece2 geug" g elg") 


iel 


=e(g”,g") 


o 


A/Z=me(g,g)"" 1e(8,8) 2 =m 
c) 第 种 步 重 加 密 密 文 算法 中 的 re 计算 如 下 : 
e(B,rk,) / e(B,, rks) 
T] (e(G..rk.e(D;.R,))" 


iel 


_ elg” (ge ere) 
t =} t\ Hi (ð Ñ 5 \t\F2 O A 
COE ree" (uJ) 


iel 


elg? (gy) 


TCE 9 Mea" (uy) >) 


iel 


H, (6) be) H, (8) 


eg" gy e(8 ,8 ) 
Jleg oa)" 


iel 


be\ H, (8) 


=e(g”, g") 


d) 第 i 步 重 加 密 密 文 的 搜索 验证 算法 正确 性 如 下 : 


Eroot! =| [(e(rks;,Tade(rke iT)" 
iel 
“T] (ee (oe 六 ,8 elg" Cs y 
= He™.e (ue iy “eee use) j 
=T] (e(s*.2"))" 


eae 


=e(8,8 
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E; = e(rk,,T,)- Eroot' 
2 ef gt) gat KWa 
= efg, g7 elg 


= e(8,8) el pe) 


atoq 


18 elg, 8g) 
aH KW )gi gceje(8， g) 


Caci (KW) o( g g) 
> 


atoq, 


atoq, 


E, = e(rk,,T,)e(T,, rk,) 
selg (g'g) Jelg” 2°", gh) 
=e(g#, g Jelg, gM eg”, g eg", gh) 
=e(g, g)” H elg, a) elg, g) 
上 式 可 知 ， 当 且 仅 当 KW =W ， 即 重 加 密 密 文中 的 关键 
字 和 门限 中 的 关键 字 相 同时 ， E = E, Ro 
e) 第 j) 步 密 算法 的 正确 性 验证 如 下 : 
_ e(rk,, K) 
I le Delko K)) 


cbo 


[inil 
nin 
a 
Fa 


ZI 


be+at ) 


B elg*,g 
lece G0) g elg", u) 


iel 


Q; 


B elg”, g )e(8 87) 
TIlE”, geui, geg u) 


iel 


=e(g*, g") 
rk, /Z' =6e(g, gy" Le(g, gy" =8 


1 
A/lrc'? =meg,g)" /e(g”,g”)=m 
上 式 可 知 ， 当 且 仅 当 能 够 找到 {m <Z,} ,这 样 一 组 向 量 


使 得 [hmw =4; 时 ， 才 可 以 得 到 消息 m 。 


iel 


5 ”安全 性 分 析 与 证 明 


安全 的 可 搜索 加 密 要 求 云 服 务 器 不 能 获得 关于 明文 的 任何 
信息 ， 本 文 的 密 文 包括 消息 部 分 以 及 关键 字 部 分 ， 所 以 下 面 证 
明了 本 方案 对 于 密 文 的 选择 明文 攻击 的 安全 性 以 及 选择 关键 字 
攻击 的 安全 性 。 

定理 1 假设 9-BDHE 问题 是 难 解 的 ， 则 本 方案 在 随机 预 
言 模型 下 是 IND-sAS-CPA 安全 。 

证 明 假设 在 游戏 中 存在 一 个 多 项 式 时 间 的 敌手 ， 能 以 
e= Adv, 的 优势 赢得 本 方案 ， 则 可 构造 一 个 挑战 者 C 进行 判定 
性 q-parallel BDHE 假设 ,从 而 判断 Te(g,g)”* 还 是 TeG,。 
挑战 者 C 和 敌手 4 进行 如 下 选择 明文 攻击 游戏 : 

挑战 者 C 输入 (P,8,G,Gr,e) » q-parallel BDHE 的 实例 T o 

攻击 者 初始 化 : 首先 敌手 4 向 挑战 者 C 宣布 要 挑战 的 目标 
访问 结构 (M4,p',T")， 其 中 jy 是 一 个 xn* 大 小 的 和 矩阵， 是 
THR n ÆI n <g; THO sta) eZ, BF pli) 
RMR TEA. to 对 应 属性 值 。 

系统 初始 化 : 挑战 者 C 选取 阶 为 素数 p gg, 为 的 群 G 上 
的 生成 元 。 随 机 选取 araez R be=a'tat'> Wl 
el(g,g)”=el(g",g")e(g,g)”。 挑战 者 C 返回 系统 公 铀 
pub={g“,e(g,8)”*} MARE BH msk={a,b,c} ， 其 中 挑战 者 C 
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对 私 钥 不 可 知 。 下 面 介绍 如 何 通过 建立 表 H  {1,2}) 来 模拟 
执行 随机 预言 H, (j e{1,2)) © F A 可 以 在 任何 时 候 进行 适应 
性 的 询问 随机 预言 H G e{1,2))， 挑战 者 C 控制 , 挑战 者 
C 持 有 “(je{1,2)) 列表 ,列表 起 初 为 空 ,挑战 者 C 按 如 下 下 


ChinaXiv@ (ERAT! 


ARR, F: TK : 现 隐私 保护 的 基于 属性 Bx P UEM 


Hye eZ, » TEL FRA EAE qg, ITA ief, i) 
R RAMAN 2k > p= p'(k) 的 集合 。 然 后 计算 挑战 者 
选择 4 {0,1 Ba FEL Telge, g) =A Im, > FR 
对 Fo etsn 3 


B= g? 和 B =g? š 


答 询问 。 

(a) H (kw): 如 果 查 询 的 关键 字 pow 在 随机 预言 机 瓦 匀 在 
ROCHE (kw) ， 则 返回 己 有 值 x, ， 这 里 gez AU, 
挑战 者 CRE A(kw)=K,> F (kw,«,) UE a P, HRE 
H (kw) =x, BEF 4 

(b) H,(6): 如 果 查 询 的 & 在 随机 预言 机 HA 在 表 中 已 存 
在 (6,x,)， 则 返回 已 有 值 x, ,这 里 x, eZ: AM, 挑战 者 C 设 
L H, (8) = ;将 (5,x) 添 加 到 石生 中 ,并 返回 及,(6)=x IK 
FA o 

阶段 1 政 手 4 进行 一 


I 


系列 查询 ， 挑 战 者 C 按 如 下 进行 


2x 

(a) Ox (Atts) : BF 4 按 如 下 为 属性 集 Arts 构造 私 钥 。 如果 
Arts 满足 目标 访问 结构 Cu", pr’) WARE CHK | ， 如 果 
在 sx 中 (SK,Atts,*) 记录 存在 , 则 返回 对 应 值 SK ; 如 果 Ans 
AS iE A UT CM oT) WARE C 响应 敌手 的 私 钥 
请 求 。 首 先 随机 选取 reZ,，， 由 LSSS 的 重 构 特性 知 ， 存 在 一 


个 常数 向 量 w= (CR @.)EZ, , 如 果 


Vi.p (i) € Atts ， 则 有 mw:M7 =0。 


A 


al ad 
~ t=r+qa'‘4 oe 


3 则 


Oat +...4+0.a 
n 


rg |] @* rar Egr I (E, HERA 


Atts 中 任意 元 素 % 存在 K, =(u*)。 
中 ， 并 返回 私 钥 gk 给 敌手 A。 

(b) 用 一 个 属性 集 s 和 访问 结构 CM", po,T) 来 访问 重 加 密 密 
钥 。 如 果 在 rei P (S,(M', p', T, kw rko sag pry) 记录 已 存在 , 挑 


将 (Atts, SK) 添加 到 sg™ 


RA C 返回 重 加 密 密 钥 RK 。 否则 ,如 果 属 性 集 hs 满足 访问 结 
构 (4M*,p",[)， 挑 战 者 C 返回 | 给 敌手 4 并 终止 游戏 。 如 果 属 


性 集 Ans 不 满足 访问 结构 Oo ry) ， 挑 战 者 c 先 运 行 
Og, (Atts) 产生 私 钥 SK ， 然 后 再 按 如 下 输出 重 加 密 密 钥 RK 。 
挑战 者 C 随机 选择 9eZ,,r…,neZ,， 计 算 重 加 密 密 钥 
rk, = (K) 22) g ê =(g" chat JRO 9 0 y rk, = g’ 


rk, = PO = g ’ R, = KPO =((u;" y yr 5 最 后 ， 挑战 者 


CREA RK 给 敌手 。 最 后 模拟 者 将 (Atts,SK) 和 
(Atts,(M', p'),kw', RK) 分 别 加 入 私 钥 列表 sK 和 重 加密 密 钥 
列表 Ki o 

挑战 : 敌手 4 向 挑战 者 C HES 
(mm) ， 挑 战 者 c 随机 选取 be{0,1} » 
下 进行 回答 。 对 于 y 的 每 一 行 i:， 设 置 s 


n-1 


q'a 


交 两 个 长 度 相同 的 密 文 
加 密 消息 m, ， 并 按 如 
六 GD) ， 随 机 选取 
然后 选择 


V= (GQ At Vda a + Yr +y,€Z,) > 


C= is TT G, 


j=2,.. 
Mij 


Il Il (g7 erly i Dr =g" ， 


keR, j=l,-- ah 


因此 创建 密 文 


CT =(4,B ,BC DT) 3c, ° A a's, BA CT 是 一 个 
有 效 的 密 文 。 
阶段 2 ” 像 阶段 一 中 的 一 样 进行 预言 机 询问 。 
猜测 : 敌手 4 给 出 猜测 p'e {0,1} ， 当 b=p' 时 ， 


T=e(g,g) 


挑战 者 C 


输出 BRET- egg) "e TURRA C 输 出 0， 也 就 是 


T 为 G; 上 的 随机 元 素 。 下 面 计算 挑战 者 Cc 成功 的 概率 。 


当 输 出 为 1 时 ， acai 时 ， 也 就 是 敌手 得 到 的 是 


RF m, 的 有 效 密 文 ， 模 拟 是 完美 的 。 通 过 定义 ， 本 文 知道 敌手 
不 可 忽视 的 优势 s ， 因 此 概率 为 


H 


4 能 正确 猜测 结果 


Pr| +b| (>T =e(g,8)""} -0| => + Adv, o 
uz 


当 输 出 为 0 时 , Br SEG, ERANA BPA BI 
任何 关于 密 文 的 信息 ， 因 此 ， 猜测 正确 率 为 


Pr[b'+b|(3.7 2G,)=0]=— f 


这 样 , 挑战 者 c 在 判定 性 q-parallelBDHE 游戏 中 就 有 不 可 


忽略 的 优势 


定理 2 假设 该 方案 在 随机 预言 模型 下 是 SAS-CPA 安全 的 ， 
那么 该 方案 是 选择 可 抵抗 同谋 攻击 的 。 

证 明 在 IND-sAS-CPA 游戏 中 ， MF A 能 从 O, 中 获得 
RK anomp) PRK guy sson ， 这 里 分 别 需 要 Arts (M°, p) 和 
Atts' |=(M",p") 。 因 为 游戏 中 定义 的 限制 ， 敌 手 4 不 能 询问 任 
意 Atts'|=(M'p') 的 私 钥 sk (敌手 4 也 不 能 询问 
Atts|=(M",p") 的 私 钥 sk )， 但 是 可 以 询问 任意 的 
Atts" |= (M", p") 的 私 钥 SK pr 。 

假设 sAS-CPA 安全 的 方案 是 不 能 抵抗 选择 同谋 攻击 的 。 那 
么 敌手 A 能 从 rkswrps 中 通过 同谋 获得 sk 。 使 用 
man yo WFE A 能 重 加 密 挑 战 密 文 CPH， 然 后 , 敌手 A 用 
SK 解密 重 加 密 密 文 ， 以 便 输出 b 的 值 ， 这 个 就 与 sSAS-CPA 安 
全 的 定义 矛盾 。 所 以 该 假设 不 成 立 ， 证 明 完 毕 。 

定理 3 若 在 通用 模型 下 DL 假设 成 立 ， 则 不 存在 多 项 式 
时 间 敌 手 以 不 可 忽略 的 优势 区 分 选择 关键 字 攻 击 游戏 。 

证 明 在 选择 关键 字 攻 击 游戏 中 敌手 尝试 区 分 
g g 挑战 者 随机 选择 @ eZ,， 
ge9sG， 如 果 政 手 赢得 选择 关键 字 攻击 游戏 的 优势 为 = ， 则 敌 


下 


bq +42) 


amda yb #42) gy A (w)a 
8 8 S 
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手 存在 二 的 概率 区 分 


© 和 gO) o 


系统 建立 : 挑战 者 建立 系统 , 对 于 属性 有 vans, €[1|U J> 
挑战 者 选择 生成 元 ge G ， 然 后 选择 u eG, a,b,ceZ, #2 


gig’, gus, 
结构 (Mp) 发 送 给 挑战 者 。 
阶段 1 


a) Ox 


eyGen 


(Atts) : 


Vs; € Atts © 


b) Orren (Atts,w) : 


SK ={Atts,K, L, {K} can} ， 然 后 选择 随机 值 € Z,» 


T, =(g g MF 7 T, = g” 


Yx e Atts T, =(K,)°=(u)” 


TK ={T,T,, T, T T 4228 


么 就 将 关键 字 w 加 入 五， 


iE iA Je A 
法 ， 随 机 选择 fseZ, ， 计 算 天 = gy" 
挑战 者 将 {Atts, K, LAK }ys ean) 返回 给 敌手 。 

挑战 者 先 查 询 预言 机 Okwyo, 生成 私 钥 


’ 


: T, =K" =g" g" ; 
A m 
如 果 属 性 集合 


Ea, 


u) 发 送 给 敌手 .敌手 选择 一 个 要 挑战 的 访问 


: 敌手 可 以 在 任意 多 项 式 时 间 内 多 次 查询 以 下 预 


m 


挑战 者 执行 密 钥 生成 算 
' L=g° K=)? 


之 后 计算 
T= 8" 

将 门 限 值 
满足 访问 结构 , 那 


挑战 阶段 :敌手 给 出 两 个 等 长 的 关键 字 ww él,» HER 


者 产生 两 个 随机 值 g,g, €Z, 


挑战 者 随机 选择 A e {0,1} > 


计算 Ww =g" ’ W, 


， 利 用 线 | 


性 共享 矩阵 共享 秘密 q, o 


车 4=0， 挑 战 者 随机 选择 @ eZ,， 


goo W, 


g” C=8 


Ay tp(x) ) ; 
Uo) o’ D58"? 


否则 计算 。 
阶段 2 


a(t +t )+t H (w) o 


A ik F fé 


elg, g) $ 则 敌手 可 以 


证 明 敌 手 只 能 以 可 


用 模型 型 中 


够 从 预言 机 的 输出 中 构造 出 
区 分 g? , goa > K 此 本 文 需要 
忽略 的 优势 构造 出 sg goa) ， 
能 以 可 以 忽略 的 优势 赢得 选择 关键 字 攻 击 游戏 。 

P 是 从 Z, 到 
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如 表 1 所 示 。 其 中 s 代表 用 户 的 属性 个 数 ，|G| 代表 G 群 中 一 


个 元 素 的 长 度 。 通 常 在 可 搜索 加 密 方案 中 ， 通 信 开 销 主要 是 指 
密 文 长 度 ， 存 储 开销 主要 指 密 钥 长 度 ， 本 方案 在 通信 开销 上 与 


Wang[ls1、Zhengls1 几 乎 一致 ,但 是 其 存储 开销 是 Zheng h. 
表 1 方案 性 能 的 对 比 
方案 Wang"! Zheng! 本 方案 
隐藏 访问 结构 否 T 是 
可 搜索 是 是 是 
可 代理 F T 是 
关键 字 更 新 F 否 是 
访问 结构 LSSS 树 型 LSSS 
密 文 长 度 QDIGHG| (20+D|G| (21+ 4)|GHG,| 
密 钥 长 度 (s+2)|G| Qs+DIG|  (s+2)[G| 
K 2 是 本 文 方案 与 Wangl[q、Zheng 呈 进行 计算 开销 的 对 比 
结果 , 其 中 p 代表 双 线 性 操作 ,代表 群 G 上 的 一 次 指数 操作 ， 
E, 代表 群 G 上 的 一 次 指数 操作 ，s 代表 用 户 的 属性 个 数 ，] 代 
表 访 问 结构 中 的 属性 。 由 于 哈 希 函数 的 计算 量 很 小 ， 所 以 本 文 
在 下 面 忽略 了 哈 希 函数 的 计算 量 。 从 表 2 可 以 看 出 本 文 的 方案 
在 密 钥 生成 、 密 文生 成 、 门 限 的 生成 阶段 以 及 搜索 阶段 的 计算 


开销 都 相对 较 小 ， 可 见 本 文 在 增加 了 隐藏 访问 结构 与 关键 字 更 
新 功能 的 同时 ， 方 案 的 计算 开销 以 及 密 文 密 钥 的 长 度 都 未 见 明 
显 增长 ， 所 以 本 方案 具有 很 大 的 实用 性 。 
表 2 计算 开销 的 对 比 


即 敌 手 只 


个 元 素 个 数 为 集合 p it 


内 射 函 数 , 敌手 只 能 以 可 以 忽略 的 概率 从 只,o 的 映射 中 猜 中 元 


素 。 因 此 本 文 考虑 敌手 从 预言 机 输 


出 中 构造 elg, g)” (ata) 的 概 


率 。 
考虑 对 一 g? 如 可 构造 elg, g) ata) ， q7 只 E cq, 中 出 现 ， 
为 了 构造 elg, g) » 6 需要 包含 c 。 设 O=oc， 这 样 敌 手 为 


THE efg, g) 0t » BA 


政 手 需要 消去 bxg,， 为 了 消去 btg,， 需 要 使 用 
根据 访问 结构 (M, p) SEB g, o 但 是 


为 了 构造 elg, g) 0 需要 构造 
Oaca， 。 这 将 要 使 用 到 qo? ac+bt ’ 


ALA q, (ac + bt) = acq, + btq, 。 


A> to Et 4 是 


i 


民 据 这 些 元 组 不 可 能 构造 出 


btq,， 因 为 当 且 仪 当 密 钥 中 的 属性 集合 满足 密 文中 的 访问 结构 
才 可 以 被 重 构 。 


因此 本 文 可 以 得 出 结论 ， 政 了 
赢得 改进 的 选择 关键 字 攻 击 游戏 ， 证 明 


6 ”性 能 分 析 


本 文 主要 从 计算 开销 和 通信 
R Wang! #77 HK Zheng 外 的 进行 了 比较 与 分 析 。 
通信 开销 与 另外 两 个 方案 的 进行 了 对 比 ， 


首先 将 方案 性 能 与 


开销 两 个 方面 与 密 文 可 


F 只 能 以 一 个 可 以 忽略 的 优势 


结束 。 


方案 Wang! 
密 钥 生成 (s+2)E 
密 文生 成 ”P+3lE+2E 
门限 生成 (s+2)E 
搜索 (21 +1)P+IE, 


Zheng"! 本 方案 
(2s+2)E (s+2)E 
(21+4)E P+(21+4E 
(2s+4)E (s+4)E 

(21+3)P +1E, (1+3)P+lE, 


7 ARA 


本 文 在 现 有 的 基于 属性 的 可 搜索 加 密 的 基础 上 ， 针 对 云 计 
算 环 境 中 存在 的 安全 存储 、 共 享 和 搜索 问题 ， 提 出 了 一 种 支持 
代理 重 加 密 的 具有 隐藏 访问 结构 的 功能 基于 属性 的 密 文 检 索 方 
案 。 不 仅 实现 了 隐私 保护 ， 还 解决 了 授权 用 户 不 在 线 时 ， 密 文 
搜索 以 及 密 文 解密 权限 委托 给 其 他 用 户 的 问题 ， 并 且 可 支持 关 
键 字 的 更 新 。 为 了 信息 的 有 效 共享 ， 本 文 有 效 地 结合 了 代理 重 
加 密 ， 充 分 利用 云 系统 的 计算 能 力 ， 由 云 系统 利用 授权 用 广 
供 的 重 加 密 密 钥 和 新 的 关键 字 实现 密 文 的 转换 ， 减 轻 了 数据 属 
主 加 密 解密 的 负担 , 而且 节 省 了 本 地 存储 以 及 管理 维护 的 成 本 。 
通过 通信 开销 和 计算 开销 的 对 比 可 以 看 出 本 文 加 密 、 解 密 搜索 
效率 较 高 ， 计 算 复杂 度 较 小 ， 所 以 本 文具 有 较 大 的 理论 研究 价 


还 


搜索 方 


值 和 实际 应 用 价值 。 但 是 本 方案 未 能 考虑 密 文 、 密 钥 等 消息 长 
度 随 着 属性 的 个 数 的 增加 而 增加 的 问题 ， 因 此 如 何 减 少 密 文 以 
及 密 钥 的 长 度 是 本 文 今 后 需要 进 WRAT 究 的 问题 。 
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